个保法系列解读 | 特定场景下，个人信息影响评估有哪些要点？

2021年11月1日正式实施的《个保法》提出了个人信息影响评估的要求，旨在发现、处置和持续监控个人信息处理过程中的风险，并不断加强对个人信息的保护。为了进一步促进评估的有效落地实施，全国信息安全标准化技术委员发布了《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）（以下简称“《指南》”），TalkingData也参与了此项国家标准的编写。本篇文章将结合《个保法》与《指南》的内容，对个人信息影响评估进行解读。

处理敏感个人信息；或利用个人信息进行自动化决策；或委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；或向境外提供个人信息；或进行其他对个人权益有重大影响的个人信息处理活动均需进行个人信息影响评估。针对其他有重大影响的活动，《指南》进行了细化列举以供参考，例如系统性的监控分析个人或个人信息；数据处理的规模较大，持续时间久；创新型技术或解决方案的应用；处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等情形。

个人信息影响评估应重点评估个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应。相关企业可以通过对相关人员进行访谈；对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行检查；使用人工或自动化安全测试工具进行技术测试等方式来实现对上述内容的评估。

开展评估前，企业需先对评估对象（可为某项产品、某类业务、某项具体合作等）进行全面的调研，形成清晰的数据清单及数据映射图表，并梳理出待评估的具体个人信息处理活动。开展评估时，通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度，以及分析安全措施是否有效、是否会导致安全事件发生及其可能性，综合两方面结果得出个人信息处理活动的安全风险及风险等级，并提出相应的改进建议，形成评估报告。具体的评估原理如下：

个人权益影响分析指分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响，以及可能产生何种影响。个人权益影响分析过程一般包含对个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析以及影响程度分析四个阶段。个人权益影响可依据限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损这四个维度再进行细化分析。

《指南》针对某些特定的场景给出了一些评估要点提示以供参考，具体如下：

个人信息保护影响评估报告和处理情况记录应当至少保存3年。

经过对Apple App Store前30款免费App的调研发现，所有的App均会在隐私政策中披露如何保护用户的个人信息，从技术措施、管理措施、安全响应等角度予以阐述。

*可关注本公众号，发送关键词「个人信息影响评估」，获取完整版报告

其中约13%的App还明确指出会将个人信息影响评估作为重要的个人信息保护措施，例如韩剧TV和快手，具体截图如下：

韩剧TV隐私政策

快手隐私政策

实施个人信息安全影响评估是加强对个人信息主体权益保护的有效举措。在开展个人信息处理前，公司可通过影响评估，提前识别风险，并据此采用适当的个人信息安全控制措施。对于正在开展的个人信息处理，企业可通过影响评估，持续完善己采取的个人信息安全控制措施，确保风险处于总体可控的状态。TalkingData内部已经制定了个人信息影响评估制度，会在严格遵守《个保法》的相关规定的基础上积极推进个人信息保护工作，完善公司内部的合规体系。

TalkingData——用数据说话

每天一篇好文章，欢迎分享关注